Domain controller is not functioning correctly

  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
LDAP bind failed with error 31

Cuando ejecute la utilidad REPADMIN /SHOWREPS localmente en un controlador de dominio, puede recibir uno de los siguientes mensajes de error:

Error LDAP 82 (Error local).

El último intento @ yyyy-mm-dd hh:mm.ss falló, resultado 1753: No hay más puntos finales disponibles en el mapeador de puntos finales.

El último intento @ yyyy-mm-dd hh:mm.ss falló, resultado 5: Acceso denegado.

Si utiliza Sitios y Servicios de Active Directory para activar la replicación, puede recibir un mensaje que indique que el acceso está denegado.

Cuando intente utilizar recursos de red desde la consola de un controlador de dominio afectado, incluidos los recursos de la Convención de nomenclatura universal (UNC) o las unidades de red asignadas, puede recibir el siguiente mensaje de error:

No hay servidores de inicio de sesión disponibles (c000005e = «STATUS_NO_LOGON_SERVERS»)

Si inicia cualquier herramienta administrativa de Active Directory desde la consola de un controlador de dominio afectado, incluidos los sitios y servicios de Active Directory y los usuarios y equipos de Active Directory, puede recibir uno de los siguientes mensajes de error:

No se puede localizar la información de nombramiento porque: No se ha podido contactar con ninguna autoridad para la autenticación. Póngase en contacto con el administrador del sistema para verificar que su dominio está correctamente configurado y que está actualmente en línea.

No se puede localizar la información de nombramiento porque: El nombre de la cuenta de destino es incorrecto. Póngase en contacto con el administrador del sistema para verificar que el dominio está correctamente configurado y que está actualmente en línea.

Los clientes de Microsoft Outlook que están conectados a equipos de Microsoft Exchange Server que utilizan controladores de dominio afectados para la autenticación pueden recibir una solicitud de credenciales de inicio de sesión, aunque haya una autenticación de inicio de sesión correcta desde otros controladores de dominio.

La herramienta Netdiag puede mostrar los siguientes mensajes de error:

Prueba de lista de CD. : Failed
No se puede llamar a DsBind a <servername><fqdn><direcciónip>).
Prueba de Kerberos. . . . . . . : Failed
Kerberos no tiene un ticket para krbtgt/<fqdn>.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Los artículos de la Base de conocimientos de Microsoft que describen soluciones menos comunes para estos síntomas se enumeran más adelante.

  1. Método 1: Solucionar los errores del sistema de nombres de dominio (DNS).
  2. Método 2: Sincronizar la hora entre los equipos.
  3. Método 3: Comprobar los derechos de usuario Acceder a este equipo desde la red.
  4. Método 4: Verificar que el atributo userAccountControl del controlador de dominio es 532480.
  5. Método 5: Fijar el reino de Kerberos (confirmar que la clave de registro PolAcDmN y la clave de registro PolPrDmN coinciden).
  6. Método 6: restablezca la contraseña de la cuenta de la máquina y, a continuación, obtenga un nuevo ticket de Kerberos.
  7. Método 1: arreglar los errores de DNS

    1. En un símbolo del sistema, ejecute el comando netdiag -v. Este comando crea un archivo Netdiag.log en la carpeta donde se ejecutó el comando.
    2. Resuelve cualquier error de DNS en el archivo Netdiag.log antes de continuar. La herramienta Netdiag se encuentra en las herramientas de soporte de Windows 2000 Server en el CD-ROM de Windows 2000 Server o como descarga.
    3. Asegúrese de que el DNS está configurado correctamente. Uno de los errores de DNS más comunes es apuntar el controlador de dominio a un proveedor de servicios de Internet (ISP) para el DNS en lugar de apuntar el DNS a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Le recomendamos que apunte el controlador de dominio a sí mismo o a otro servidor DNS que admita actualizaciones dinámicas y registros SRV. Le recomendamos que configure reenviadores al ISP para la resolución de nombres en Internet.

    Para obtener más información sobre la configuración de DNS para el servicio de directorio de Active Directory, haga clic en los siguientes números de artículo para ver los artículos en la Base de conocimientos de Microsoft:
    254680 Planificación del espacio de nombres DNS

    Método 2: Sincronizar la hora entre equipos

    Verifique que la hora está correctamente sincronizada entre los controladores de dominio. Además, verifique que la hora está correctamente sincronizada entre los equipos cliente y los controladores de dominio.

    Método 3: Comprobar los derechos de usuario «Acceder a este equipo desde la red»

    Modifique el archivo Gpttmpl.inf para confirmar que los usuarios adecuados tienen el derecho de usuario Acceder a este equipo desde la red en el controlador de dominio. Para ello, siga estos pasos:

    1. Modifique el archivo Gpttmpl.inf para la directiva Controladores de dominio predeterminados. De forma predeterminada, la Política de controladores de dominio predeterminada es donde se definen los derechos de usuario para un controlador de dominio. De forma predeterminada, el archivo Gpttmpl.inf para la política de controladores de dominio predeterminados se encuentra en la siguiente carpeta.

      Nota

      Sysvol puede estar en una ubicación diferente, pero la ruta del archivo Gpttmpl.inf será la misma.

      Para los controladores de dominio de Windows Server 2003:

      C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

      Para los controladores de dominio de Windows 2000 Server:

      C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    2. A la derecha de la entrada SeNetworkLogonRight, añada los identificadores de seguridad para Administradores, para Usuarios Autenticados y para Todos. Consulte los siguientes ejemplos.

      Para controladores de dominio de Windows Server 2003:

      SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

      Para controladores de dominio de Windows 2000 Server:

      SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

      Nota

      Los administradores (S-1-5-32-544), los usuarios autenticados (S-1-5-11), todos (S-1-1-0) y los controladores de empresa (S-1-5-9) utilizan identificadores de seguridad conocidos que son los mismos en todos los dominios.

  • Quite cualquier entrada a la derecha de la entrada SeDenyNetworkLogonRight (Denegar el acceso a este equipo desde la red) para que coincida con el siguiente ejemplo.

    SeDenyNetworkLogonRight =

    Nota

    El ejemplo es el mismo para Windows 2000 Server y para Windows Server 2003.

    Por defecto, Windows 2000 Server no tiene entradas en la entrada SeDenyNetworkLogonRight. Por defecto, Windows Server 2003 sólo tiene la cuenta Support_random string en la entrada SeDenyNetworkLogonRight. (Debido a que la cuenta Support_random string utiliza un identificador de seguridad (SID) diferente en cada dominio, la cuenta no es fácilmente distinguible de una cuenta de usuario típica con sólo mirar el SID. Es posible que desee copiar el SID a otro archivo de texto, y luego eliminar el SID de la entrada SeDenyNetworkLogonRight. De este modo, podrá volver a colocarla cuando termine de solucionar el problema.

    SeNetworkLogonRight y SeDenyNetworkLogonRight pueden definirse en cualquier política. Si los pasos anteriores no resuelven el problema, compruebe el archivo Gpttmpl.inf en otras políticas en Sysvol para confirmar que los derechos de usuario no se están definiendo también allí. Si un archivo Gpttmpl.inf no contiene ninguna referencia a SeNetworkLogonRight o a SeDenyNetworkLogonRight, esas configuraciones no están definidas en la política y esa política no está causando este problema. Si esas entradas existen, asegúrese de que coincidan con las configuraciones indicadas anteriormente para la directiva Controlador de dominio predeterminado.

    Método 4: verifique que el atributo userAccountControl del controlador de dominio sea 532480

    1. Haga clic en Inicio, en Ejecutar y escriba adsiedit.msc.
    2. Explique NC de dominio, expanda DC=dominio y, a continuación, expanda OU=Controladores de dominio.
    3. Haga clic con el botón derecho del ratón en el controlador de dominio afectado y, a continuación, haga clic en Propiedades.
    4. En Windows Server 2003, haga clic para seleccionar la casilla de verificación Mostrar atributos obligatorios y la casilla de verificación Mostrar atributos opcionales en la ficha Editor de atributos. En Windows 2000 Server, haga clic en Ambos en el cuadro Seleccionar qué propiedades ver.
    5. En Windows Server 2003, haga clic en userAccountControl en el cuadro Atributos. En Windows 2000 Server, haga clic en userAccountControl en el cuadro Seleccionar una propiedad para ver.
    6. Si el valor no es 532480, escriba 532480 en el cuadro Editar atributo, haga clic en Establecer, haga clic en Aplicar y, a continuación, en Aceptar.
    7. Salga de ADSI Edit.

    Método 5: Fijar el reino de Kerberos (confirmar que la clave de registro PolAcDmN y la clave de registro PolPrDmN coinciden)

    Nota

    Este método sólo es válido para Windows 2000 Server.

    Importante

    Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, podrían producirse graves problemas si modifica el registro de forma incorrecta. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, haga una copia de seguridad del registro antes de modificarlo. Así podrá restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el registro, haga clic en el siguiente número de artículo para ver el artículo en la Base de conocimientos de Microsoft:
    322756 Cómo hacer una copia de seguridad y restaurar el registro en Windows

    1. Inicie el Editor del Registro.
    2. En el panel izquierdo, expanda Seguridad.
    3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
    4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
    5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
    6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
    7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
    8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
    9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
    10. In the Binary Editor dialog box, paste the value from PolPrDmN. (El valor de PolPrDmN será el nombre de dominio NetBIOS).
    11. Reinicie el controlador de dominio.

    Método 6: Restablezca la contraseña de la cuenta de la máquina y, a continuación, obtenga un nuevo ticket Kerberos

    1. Detenga el servicio Kerberos Key Distribution Center y, a continuación, establezca el valor de inicio en Manual.

    2. Utilice la herramienta Netdom de las Herramientas de soporte de Windows 2000 Server o de las Herramientas de soporte de Windows Server 2003 para restablecer la contraseña de la cuenta del equipo del controlador de dominio:
      netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password> 

      Asegúrese de que el comando netdom se devuelva como completado con éxito. Si no lo es, el comando no ha funcionado. Para el dominio Contoso, donde el controlador de dominio afectado es DC1, y un controlador de dominio que funciona es DC2, ejecute el siguiente comando netdom desde la consola de DC1:

      netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
    3. Reinicie el controlador de dominio afectado.

    4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

    For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
    323542 You cannot start the Active Directory Users and Computers tool because the server is not operational